subject:"RE\: ssh\: Kücük bir gece yarisi saldirisi ... \(görüsler, öneriler, vs.\)"

Re: ssh: Kücük bir gece yarisi saldirisi. .. (görüsler, öneriler, vs.)

2005-09-11 Başlik Can Kavaklıoğlu

Merhabalar,
Kullandığım sunucuyu (apache için) uzun süre açık tutmaya çalıştığım
zamanlarda bununla ben de karşılaşmıştım. Recai hocamızın dediğine
katılıyorum. Şifre deneyen otomatik programlar olsa gerek bunlar.

Bu durumda eğlence olarak,
http://www.geobytes.com/IpLocator.htm?GetLocation
http://www.searchbug.com/peoplefinder/location-by-ip-address.aspx?ipaddress=143.248.138.18submit1=Submit
http://www.antionline.com/tools-and-toys/ip-locate/

adreslerinin herhangi birisinden saldırgan ip nin nerede olduğunu
öğrenebilirsin. Benim durumumda Buenos Aires, Japonya, Avrupa'nın
çeşitli yerleri gibi enteresan yerler çıkmıştı. Sonra bu ip lere
mozilla/firefox gibi bir taracıyı ile siteleri var mı diye bakabilirsin,
oradan adres bulursan eposta atabilirsin, hatta karşılık olarak ssh ile
onların bilgisayarlarını bir yoklayabilirsin : )

Çözüm olarak da bir kaç şey önerebilirim, ip adresini değiştirmek (kısa
süreli bir koruma), sshd yi kaldırmak (gerekli değilse bunu
yapabilirsin, ssh i kullanmak için sshd ye gerek yok), bildiğim en şık
çözüm ise sshd_config dosyasındaki

Port 22

satırını, unutmayacağın başka bir port numarasına değiştirmek. google
dan ports diye yazıp kontrol ederek, genel olarak kullanılmayan
birtanesini seçebilirsin, ileride bir karışıklık olmasın diye (seçtiğini
başka bir program kullanmaya kalkmasın diye). Buradaki olay, bu tip
genel saldırıların standart kurulumları hedef alması, bir listedeki
bütün ip lerin 22. kapısını (port) taramak, bir ip nin bütün kapılarını
taramaktan daha hızlı olacaktır. O yüzden olsa gerek, bu değişikliği
yaptıktan sonra /var/log/auth.log dosyası baya bi rahat etmişti.

Kolay gelsin.
Can Kavaklıoğlu


 Merhaba,
 
 gkrellm sayesinde bir anda eth0 arayüzü üzerinden beklenmedik
 bir trafik oldugunu gördüm, bayram degil seyran degil bir sey 
 yollamiyorum, bir sey almiyorum, nereden cikti bu trafik dedim.
 
 netstat ile biraz bakinca bol bol ssh ile karsilastim ve beklenmedik bir 
 durum oldugunu düsündüm, sshd'yi hemen durdurdum ve sonra da 
 /var/log/auth.log'a bakinca
 asagida göreceginiz satirlar ile karsilastim.
 
 Anlayabildigim kadari ile tek bir makina, otomatik
 bir program araciligi ile bazi kullanici isimlerini/parolalarini
 deneyerek benim sistemi bombardimana tuttu ve ssh üzerinden giris
 yapmaya calisti (hangi programla? nasil? bilemiyorum tabii).
 
 Sistemim Debian GNU/Linux (unstable). ADSL router/firewall modem arkasindayim.
 
 Asagidaki loga bakip daha detayli analiz yapabilecek
 ve önerilerde bulunabilecek olan varsa sevinirim. 
 
 Bu arada fail2ban diye bir programin farkina vardim:
 
  http://fail2ban.sourceforge.net
 
 Bu tür durumlari engellemek icin anlamli mi, kullanmis olan var mi?
 
 Simdiden tesekkürler, log dosyasi asagida, ayrica sshd_config dosyami
 da aktardim, herhangi bir sorun var mi diye (bu olay basima
 geldikten sonra apt-get install ssh ile sshd sunucuyu güncelledim):
 
 Sep 10 00:52:46 debian sshd[16576]: Did not receive identification string 
 from :::83.170.72.51
 Sep 10 00:53:01 debian CRON[16581]: (pam_unix) session opened for user mail 
 by (uid=0)
 Sep 10 00:53:01 debian CRON[16581]: (pam_unix) session closed for user mail
 Sep 10 01:00:01 debian CRON[16697]: (pam_unix) session opened for user root 
 by (uid=0)
 Sep 10 01:00:04 debian CRON[16697]: (pam_unix) session closed for user root
 Sep 10 01:00:18 debian sshd[16704]: Illegal user admin from 
 :::83.170.72.51
 Sep 10 01:00:19 debian sshd[16704]: error: Could not get shadow information 
 for NOUSER
 Sep 10 01:00:19 debian sshd[16704]: Failed password for illegal user admin 
 from :::83.170.72.51 port 37887 ssh2
 Sep 10 01:00:20 debian sshd[16706]: Illegal user administrator from 
 :::83.170.72.51
 Sep 10 01:00:20 debian sshd[16706]: error: Could not get shadow information 
 for NOUSER
 Sep 10 01:00:20 debian sshd[16706]: Failed password for illegal user 
 administrator from :::83.170.72.51 port 38063 ssh2
 Sep 10 01:00:21 debian sshd[16709]: Illegal user jack from :::83.170.72.51
 Sep 10 01:00:22 debian sshd[16709]: error: Could not get shadow information 
 for NOUSER
 Sep 10 01:00:22 debian sshd[16709]: Failed password for illegal user jack 
 from :::83.170.72.51 port 38231 ssh2
 Sep 10 01:00:23 debian sshd[16711]: Illegal user marvin from 
 :::83.170.72.51
 Sep 10 01:00:23 debian sshd[16711]: error: Could not get shadow information 
 for NOUSER
 Sep 10 01:00:23 debian sshd[16711]: Failed password for illegal user marvin 
 from :::83.170.72.51 port 38411 ssh2
 Sep 10 01:00:25 debian sshd[16713]: Illegal user andres from 
 :::83.170.72.51
 Sep 10 01:00:25 debian sshd[16713]: error: Could not get shadow information 
 for NOUSER
 Sep 10 01:00:25 debian sshd[16713]: Failed password for illegal user andres 
 from :::83.170.72.51 port 38595 ssh2
 Sep 10 01:00:26 debian sshd[16716]: Illegal user barbara from 
 :::83.170.72.51
 Sep 10 01:00:26 debian sshd[16716]: error: Could not get shadow information 
 for NOUSER
 Sep 10

Re: ssh: Kücük bir gece yarisi saldirisi... (görüsler, öneriler , vs.)

2005-09-10 Başlik Recai Oktas

Merhaba,

* Emre Sevinc [2005-09-10 10:48:36+0300]
 gkrellm sayesinde bir anda eth0 arayüzü üzerinden beklenmedik
 bir trafik oldugunu gördüm, bayram degil seyran degil bir sey 
 yollamiyorum, bir sey almiyorum, nereden cikti bu trafik dedim.
 
 netstat ile biraz bakinca bol bol ssh ile karsilastim ve beklenmedik bir 
 durum oldugunu düsündüm, sshd'yi hemen durdurdum ve sonra da 
 /var/log/auth.log'a bakinca
 asagida göreceginiz satirlar ile karsilastim.
 
 Anlayabildigim kadari ile tek bir makina, otomatik
 bir program araciligi ile bazi kullanici isimlerini/parolalarini
 deneyerek benim sistemi bombardimana tuttu ve ssh üzerinden giris
 yapmaya calisti (hangi programla? nasil? bilemiyorum tabii).
 
 Sistemim Debian GNU/Linux (unstable). ADSL router/firewall modem arkasindayim.
 
 Asagidaki loga bakip daha detayli analiz yapabilecek
 ve önerilerde bulunabilecek olan varsa sevinirim. 
[...]
 Sep 10 01:00:21 debian sshd[16709]: Illegal user jack from :::83.170.72.51
 Sep 10 01:00:22 debian sshd[16709]: error: Could not get shadow information 
 for NOUSER
 Sep 10 01:00:22 debian sshd[16709]: Failed password for illegal user jack 
 from :::83.170.72.51 port 38231 ssh2
[...]

Bu (otomatik olarak yurutulen) bir brute-force atak saniyorum, zayif
parola ariyor.  Kullandigin parolayi tedbirli secmissen ciddi bir
problem olacagini sanmiyorum.  Istersen debian-security arsivlerini bir
incele.  Bu tur ataklar icin daha ayrintili bilgi bulabilirsin.

-- 
roktas


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

RE: ssh: Kücük bir gece yarisi saldirisi ... (görüsler, öneriler, vs.)

2005-09-10 Başlik Emre Sevinc

Title: RE: ssh: Kücük bir gece yarisi saldirisi... (görüsler, öneriler, vs.)






-Original Message-
From: Recai Oktas [mailto:[EMAIL PROTECTED]]
Sent: Sat 9/10/2005 1:21 PM
To: debian-user-turkish@lists.debian.org
Subject: Re: ssh: Kücük bir gece yarisi saldirisi... (görüsler, öneriler, vs.)

Merhaba,

* Emre Sevinc [2005-09-10 10:48:36+0300]
 gkrellm sayesinde bir anda eth0 arayüzü üzerinden beklenmedik
 bir trafik oldugunu gördüm, bayram degil seyran degil bir sey
 yollamiyorum, bir sey almiyorum, nereden cikti bu trafik dedim.

 netstat ile biraz bakinca bol bol ssh ile karsilastim ve beklenmedik bir
 durum oldugunu düsündüm, sshd'yi hemen durdurdum ve sonra da /var/log/auth.log'a bakinca
 asagida göreceginiz satirlar ile karsilastim.

 Anlayabildigim kadari ile tek bir makina, otomatik
 bir program araciligi ile bazi kullanici isimlerini/parolalarini
 deneyerek benim sistemi bombardimana tuttu ve ssh üzerinden giris
 yapmaya calisti (hangi programla? nasil? bilemiyorum tabii).

 Sistemim Debian GNU/Linux (unstable). ADSL router/firewall modem arkasindayim.

 Asagidaki loga bakip daha detayli analiz yapabilecek
 ve önerilerde bulunabilecek olan varsa sevinirim.
[...]
 Sep 10 01:00:21 debian sshd[16709]: Illegal user jack from :::83.170.72.51
 Sep 10 01:00:22 debian sshd[16709]: error: Could not get shadow information for NOUSER
 Sep 10 01:00:22 debian sshd[16709]: Failed password for illegal user jack from :::83.170.72.51 port 38231 ssh2
[...]

Bu (otomatik olarak yurutulen) bir brute-force atak saniyorum, zayif
parola ariyor. Kullandigin parolayi tedbirli secmissen ciddi bir
problem olacagini sanmiyorum. Istersen debian-security arsivlerini bir
incele. Bu tur ataklar icin daha ayrintili bilgi bulabilirsin.

Tesekkürler, biraz daha bakinacagim etrafa. Bu arada fail2ban'a ek olarak
sunlarla karsilastim (öneriler dogrultusunda):

http://www.csc.liv.ac.uk/~greg/sshdfilter/

http://sodaphish.com/files/tattle

http://lcamtuf.coredump.cx/p0f.shtml

http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/

http://clustrmaps.com/index.htm

Re: ssh: Kücük bir gece yarisi saldirisi. .. (görüsler, öneriler, vs.)

Re: ssh: Kücük bir gece yarisi saldirisi... (görüsler, öneriler , vs.)

RE: ssh: Kücük bir gece yarisi saldirisi ... (görüsler, öneriler, vs.)

3 matches

Site Navigation

Mail list logo

Footer information